Was ist Qualifizierte Transportverschlüsselung (qTLS) für die E-Mail-Übertragung?

Die sicherstmögliche Transportmöglichkeit

Der Begriff der „qualifizierten“ Transportverschlüsselung (qTLS) bedeutet im Kontext E-Mail die bestmögliche durch TLS erreichbare Absicherung einer E-Mail-Übertragung und soll eine Unterscheidung zur gewöhnlichen, im Regelfall unsicheren E-Mail-Transportverschlüsselung ermöglichen.

Der Begriff wurde definiert von der deutschen Datenschutzkonferenz (DSK) und erstmals verwendet in der Orientierungshilfe zur DSGVO-konformen E-Mail-Kommunikation, veröffentlicht im Mai 2020 (aktueller Stand: Juni 2021).

Bei Verwendung der qualifizierten Transportverschlüsselung werden auf Server-zu-Server-Ebene strikte TLS-Sicherheitsprüfungen angewendet, bevor E-Mails übertragen werden. Dies stellt sicher, dass auf dem Übertragungsweg durch öffentliche Netze keine Dritten in die Verschlüsselung involviert sind und Nachrichten nicht unbemerkt mitgelesen werden können (Schutz vor „Man-in-the-Middle“).

Für den E-Mail-Absender kann die qualifizierte Transportverschlüsselung eine geeignete technische Maßnahme zur Übertragung schützenswerter Daten (z.B. personenbezogener Daten) per E-Mail sein, selbst wenn diese Daten dem hohen Risiko zuzuordnen sind.

Ist sichere Transportverschlüsselung gänzlich neu?

Was im Kontext von E-Mail neu wirkt, ist in anderen Bereichen des Internets längst etabliert: In allen aktuellen Internet-Browsern kommt schon seit vielen Jahren ausschließlich die (qualifizierte) Transportverschlüsselung mit strikter TLS-Sicherheitsprüfung zum Einsatz, aber ohne sie dort so zu nennen.

Ohne die angewendeten Sicherheitsprüfungen, wie TLS-Zertifikatsprüfung und den Ausschluss unsicherer TLS-Verschlüsselungsalgorithmen und TLS-Protokollversionen, wären Online-Banking und Online-Shopping aus Sicherheitssicht vermutlich gar nicht möglich!

Zum Unterschied zwischen Browser-Welt und E-Mail-Welt lesen Sie auch: Das Sicherheitsproblem der E-Mail-Welt

Technische Voraussetzungen, definiert durch DSK und BSI

Eine Transportverschlüsselung darf nach Definition der DSK „qualifiziert“ genannt werden, wenn drei ganz entscheidende Schritte durchgeführt werden, um die Sicherheit der E-Mail-Übertragung zu gewährleisten:

  1. Sichere DNS-Kommunikation: Die IP-Adresse eines Empfänger-Servers muss fälschungssicher abgerufen werden.
  2. TLS-Zertifikatsprüfung des Servers: Der Empfänger-Server muss sich mit einem gültigen, von einer glaubwürdigen Zertifizierungsstelle (CA) validierten, TLS-Zertifikat ausweisen. Das Absende-System muss das Zertifikat des Empfänger-Servers prüfen.
  3. Sichere Verschlüsselung: Für die verschlüsselte Übertragung dürfen nur die vom BSI empfohlenen Algorithmen, Chiffren und Schlüssellängen verwendet werden, und zwar nur solche, die eine sog. Perfect Forward Secrecy ermöglichen.

Wenn Empfänger-Systeme diese Sicherheitsbedingungen nicht erfüllen oder das Absende-System diese nicht prüft, kann nicht von einer „qualifizierten“ Transportverschlüsselung gesprochen werden. Dann besteht auch KEINE ausreichende Risikominderung für die Übertragung von personenbezogenen Daten mit hohen Risiken, stattdessen werden weitere oder andere technische Maßnahmen benötigt.

Die Vorteile von qTLS

  • Sichere Übertragung von Server zu Server. Damit wird die größte Sicherheitslücke des E-Mail-Kanals geschlossen.
  • Sicherheit gegen Angreifer, die aktiv in den Netzverkehr eingreifen ("Man-in-the-Middle").
  • Bei beidseitiger Anwendung („TLS-Tunnel“) ergibt sich ein Sicherheitslevel äquivalent zu einer Gateway-zu-Gateway S/MIME-Verschlüsselung (manchmal auch „Domain-Verschlüsselung“ genannt).
  • qTLS entspricht einem digitalen „Einwurf-Einschreiben“ und erfüllt damit die gesetzlichen Datenschutz-Anforderungen.

Genügt qTLS als alleinige Sicherheitsmaßnahme?

Nein, die qualifizierte Transportverschlüsselung genügt für einen praktikablen E-Mail-Prozess leider nicht als alleinige (statische) Sicherheitsmaßnahme.

  • zu identifizieren, mit welchen Empfänger-Servern qTLS anwendbar ist und dies dort zu forcieren, sowie um
  • im Falle von nicht verfügbarem qTLS durch weitere Sicherheitsautomatismen (je nach Situation z.B. Stopp der Nachricht oder automatische Passwort-Verschlüsselung) dennoch einen zielführenden Umgang mit der E-Mail-Übertragung zu ermöglichen.

Diese automatisierte Verknüpfung verschiedener Sicherheitstechnologien nennen wir adaptive Verschlüsselung.

Sie möchten noch mehr erfahren?

Oder erfahren Sie mehr zu

Das comcrypto MXG E-Mail-Gateway identifiziert, mit welchen Empfängern die qualifizierte Transportverschlüsselung möglich ist und wendet sie an.

Hendrik Nöll CTO